Имеем:
Локальная сеть: 192.168.0.0/24
Адреса для подключаемых клиентов: 192.168.0.101-192.168.0.110
Клиенты: WinXP
I. Настройка сервера PPTP.
1. Поднимаем PPTP-сервер на внешнем интерфейсе:
# set vpn pptp remote-access outside-address ip.add.re.ss
2. Указываем диапазон адресов из ЛС для присвоения клиентам:
# set vpn pptp remote-access client-ip-pool start 192.168.0.101
# set vpn pptp remote-access client-ip-pool stop 192.168.0.110
3. Указываем тип аутентификации (здесь - local - аутентификация на уровне ОС):
# setvpn pptp remote-access authenticathion mode local
# set vpn pptp remote-access authentication local-users username testusers password somepassword
4. Сохраняем изменения:
# commit
5. Проверяем настройки VPN:
# show vpn pptp remote-access
authentication {
local-users {
username testuser {
password somepassword
}
}
mode local
}
client-ip-pool {
start 192.168.0.101
stop 192.168.0.110
}
ouside-address ip.add.re.ss
II. Настройка клиентов.
1. Пуск -> Панель управления -> Сетевые соединения.
2. Создать новое соединение.
3. Выбрать Соединение с сетью на рабочем месте.
4. Выбрать VPN-соединение.
5. Указать имя соединения (например, Work)
6. Выбрать не звонить для установки соединения.
7. Указать адрес сервера ip.add.re.ss.
8. Снять отметку на строке 'Использовать смарт-карту'.
9. Готово.
III. Настройка L2TP/IPsec с общими ключами.
1. Поднимаем PPTP-сервер на внешнем интерфейсе:
# set vpn ipsec ipsec-interface interface wan1
2. Включаем отслеживание NAT (необходимо):
# set vpn ipsec nat-traversal enable
# set vpn ipsec nat-networks allowed-network ???
3. Привязываем L2TP-сервер к внешнему интерфейсу:
# set vpn l2tp remote-access outside-address ip.add.re.ss
# set vpn l2tp remote-access outside-nexthop
4. Указываем диапазон адресов для клиентов:
# set vpn l2tp remote-access client-ip-pool start 192.168.0.101
# set vpn l2tp remote-access client-ip-pool stop 192.168.0.110
# set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
# set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret !secrettext!
# set vpn l2tp remote-access authentication mode local
# set vpn l2tp remote-access authentication local-users username testuser password somepassword
5. Сохраняем изменения:
# commit
6. Проверяем настройки VPN:
# show vpn l2tp remote-access
authentication {
local-users {
username testuser {
password somepassword
}
}
mode local
}
clien-ip-ppol {
start 192.168.0.101
stop 192.168.0.110
}
ouside-address ip.add.re.ss
IV. Настройка клиентов.
1. Пуск -> Панель управления -> Сетевые соединения
2. Создать новое соединение.
3. Выбрать Соединение с сетью на рабочем месте.
4. Выбрать VPN-соединение.
5. Указать имя соединения (например, Work)
6. Выбрать не звонить для установки соединения.
7. Указать адрес сервера ip.add.re.ss.
8. Снять отметку на строке 'Использовать смарт-карту'.
9. Готово.
По умолчанию, при активации VPN-соединения добавляется маршрут по умолчанию, указанный VPN-сервером. Если вы хотите
сохранить свой маршрут по умолчанию, сделайте следующее:
1. Пуск -> Панель управления -> Сетевые соединения
2. Правый клик на на значке VPN-соединения (Work) -> Свойства
3. Выбрать вкладку 'Сеть'. Выбрать 'Internet Protocol (TCP/IP)'. Выбрать 'свойства'
4. Выбрать 'Дополнительно'. Снять отметку с 'использовать шлюз по умолчанию для удаленной сети'
5. Сохранить изменения.
Проверка активных VPN-сессий:
# show vpn remote-access
Показаны сообщения с ярлыком vpn. Показать все сообщения
Показаны сообщения с ярлыком vpn. Показать все сообщения
вторник, 7 апреля 2009 г.
четверг, 4 сентября 2008 г.
OpenVPN точка-точка
1. Скачать и установить openvpn.
2. Создать пользователя openvpn с шеллом /sbin/nologin
3. mkdir -p /usr/local/etc/openvpn
4. cd /usr/local/etc/openvpn
Шаги 1-4 выполняются на двух хостах (office1 и office2)
5. office1# openvpn --genkey --secret static.key (скопировать ключ на удаленную систему)
6. office1# touch office1-office2.conf
На office2 - touch office2-office1.conf
7. office1# cat office1-office2.conf
# config for openvpn between office1 & office2
dev tun
port 7890
comp-lzo
ping 15
verb 3
user openvpn
group openvpn
remote re.al.ip.addr
ifconfig 10.5.0.1 10.5.0.2 - внимание на адреса!!!
route 192.168.0.0 255.255.255.0 10.5.0.2 - внимание на адреса!!!
secret /usr/local/etc/openvpn/static.key
auth MD5
cipher DES-CBC
tun-mtu 1500
8. office2# cat office2-office1.conf
# config for openvpn between office2 & office1
dev tun
port 7890
comp-lzo
ping 15
verb 3
user openvpn
group openvpn
remote re.al.ip.addr
ifconfig 10.5.0.2 10.5.0.1 - внимание на адреса!!!
route 192.168.1.0 255.255.255.0 10.5.0.1 - внимание на адреса!!!
secret /usr/local/etc/openvpn/static.key
auth MD5
cipher DES-CBC
tun-mtu 1500
9. Добавить разрешающие правила для tun0[1] в конфиг фаера.
10. office1# openvpn --config /usr/local/etc/openvpn/office1-office2.conf &
11. office2# openvpn --config /usr/local/etc/openvpn/office2-office1.conf &
Последние команды лучше запускать в screen - чтобы по закрытии консоли не отвалилось соединение.
12. office1# ping 192.168.0.1
13. office2# ping 192.168.1.1
2. Создать пользователя openvpn с шеллом /sbin/nologin
3. mkdir -p /usr/local/etc/openvpn
4. cd /usr/local/etc/openvpn
Шаги 1-4 выполняются на двух хостах (office1 и office2)
5. office1# openvpn --genkey --secret static.key (скопировать ключ на удаленную систему)
6. office1# touch office1-office2.conf
На office2 - touch office2-office1.conf
7. office1# cat office1-office2.conf
# config for openvpn between office1 & office2
dev tun
port 7890
comp-lzo
ping 15
verb 3
user openvpn
group openvpn
remote re.al.ip.addr
ifconfig 10.5.0.1 10.5.0.2 - внимание на адреса!!!
route 192.168.0.0 255.255.255.0 10.5.0.2 - внимание на адреса!!!
secret /usr/local/etc/openvpn/static.key
auth MD5
cipher DES-CBC
tun-mtu 1500
8. office2# cat office2-office1.conf
# config for openvpn between office2 & office1
dev tun
port 7890
comp-lzo
ping 15
verb 3
user openvpn
group openvpn
remote re.al.ip.addr
ifconfig 10.5.0.2 10.5.0.1 - внимание на адреса!!!
route 192.168.1.0 255.255.255.0 10.5.0.1 - внимание на адреса!!!
secret /usr/local/etc/openvpn/static.key
auth MD5
cipher DES-CBC
tun-mtu 1500
9. Добавить разрешающие правила для tun0[1] в конфиг фаера.
10. office1# openvpn --config /usr/local/etc/openvpn/office1-office2.conf &
11. office2# openvpn --config /usr/local/etc/openvpn/office2-office1.conf &
Последние команды лучше запускать в screen - чтобы по закрытии консоли не отвалилось соединение.
12. office1# ping 192.168.0.1
13. office2# ping 192.168.1.1
воскресенье, 25 мая 2008 г.
mpd в freebsd (vpn-подключение)
1. Настроить конфигурацию сетевых параметров по DHCP через внешний сетевой интерфейс.
Для этого в файл /etc/rc.conf необходимо внести строчку:
ifconfig_ifname="DHCP"
где ifname - название интерфейса (например, fxp0, xl0, rl0 и т. п.).
Внимание! Ваш DHCP-клиент должен ументь воспринимать статические маршруты, выдаваемые сервером! Если это конфигурируемая опция, то она должна быть обязательно включена.
2. Установить пакет mpd с помощью утилиты pkg_add или (при наличии другого соединения с Интернет, либо непосредственно с адреса ftp://ftp.chelcom.ru/pub/FreeBSD/distfiles/) из портов:
# cd /usr/ports/net/mpd
# make install clean
3. Скачать конфигурационные файлы с адреса ftp://ftp.chelcom.ru/pub/FreeBSD/configs/mpdconf.tar и распаковать их в каталог /usr/local/etc/mpd:
# cd /usr/local/etc/mpd
# fetch ftp://ftp.chelcom.ru/pub/FreeBSD/configs/mpdconf.tar
# tar -xf mpdconf.tar
4. Отредактировать файлы mpd.conf и mpd.secret, заменив слова username и password на свой логин и пароль.
5. Включить автозапуск mpd. Для этого нужно сделать следующее:
# cp /usr/local/etc/rc.d/mpd.sh.sample
/usr/local/etc/rc.d/mpd.sh
6. Запустить mpd и удостовериться в работоспособности:
# /usr/local/etc/rc.d/mpd.sh start
mpd
# ifconfig ng0
ng0: flags=88d1 mtu 1300
inet 81.20.170.28 --> 81.20.169.252 netmask 0xffffffff
Приложение (листинги конфигурационных файлов)
mpd.conf:
default:
new -i ng0 intsv_vpn intsv_vpn
set iface disable on-demand
set iface up-script /usr/local/etc/mpd/link-up
set iface down-script /usr/local/etc/mpd/link-down
set link no acfcomp protocomp
set iface idle 0
set iface disable proxy-arp
set bundle disable multilink
set bundle authname username
set link accept pap chap
set link disable pap chap
set ipcp yes vjcomp
open iface
mpd.secret:
username password
mpd.links
intsv_vpn:
set link type pptp
set pptp peer vpn.chelcom.ru
set pptp enable originate outcall
linkupdown:
#!/bin/sh
VPNAME=vpn.chelcom.ru
PREFIX=/usr/local
export PATH=/sbin:/bin:/usr/bin:/usr/sbin:${PREFIX}/bin:/${PREFIX}/sbin
start() {
netstat -rn | grep '^default' | awk '{print $2}' > /tmp/defaultroute
for serverip in `host vpn | awk '{print $4}'`
do
route add -host $serverip `cat /tmp/defaultroute`
done
route change default $1 -ifp ng0
}
stop() {
route change default `cat /tmp/defaultroute`
for serverip in `host vpn | awk '{print $4}'`
do
route delete -host $serverip
done
}
link-up:
#!/bin/sh
. /usr/local/etc/mpd/linkupdown
start $4
exit 0
link-down:
#!/bin/sh
. /usr/local/etc/mpd/linkupdown
stop
exit 0
Для этого в файл /etc/rc.conf необходимо внести строчку:
ifconfig_ifname="DHCP"
где ifname - название интерфейса (например, fxp0, xl0, rl0 и т. п.).
Внимание! Ваш DHCP-клиент должен ументь воспринимать статические маршруты, выдаваемые сервером! Если это конфигурируемая опция, то она должна быть обязательно включена.
2. Установить пакет mpd с помощью утилиты pkg_add или (при наличии другого соединения с Интернет, либо непосредственно с адреса ftp://ftp.chelcom.ru/pub/FreeBSD/distfiles/) из портов:
# cd /usr/ports/net/mpd
# make install clean
3. Скачать конфигурационные файлы с адреса ftp://ftp.chelcom.ru/pub/FreeBSD/configs/mpdconf.tar и распаковать их в каталог /usr/local/etc/mpd:
# cd /usr/local/etc/mpd
# fetch ftp://ftp.chelcom.ru/pub/FreeBSD/configs/mpdconf.tar
# tar -xf mpdconf.tar
4. Отредактировать файлы mpd.conf и mpd.secret, заменив слова username и password на свой логин и пароль.
5. Включить автозапуск mpd. Для этого нужно сделать следующее:
# cp /usr/local/etc/rc.d/mpd.sh.sample
/usr/local/etc/rc.d/mpd.sh
6. Запустить mpd и удостовериться в работоспособности:
# /usr/local/etc/rc.d/mpd.sh start
mpd
# ifconfig ng0
ng0: flags=88d1 mtu 1300
inet 81.20.170.28 --> 81.20.169.252 netmask 0xffffffff
Приложение (листинги конфигурационных файлов)
mpd.conf:
default:
new -i ng0 intsv_vpn intsv_vpn
set iface disable on-demand
set iface up-script /usr/local/etc/mpd/link-up
set iface down-script /usr/local/etc/mpd/link-down
set link no acfcomp protocomp
set iface idle 0
set iface disable proxy-arp
set bundle disable multilink
set bundle authname username
set link accept pap chap
set link disable pap chap
set ipcp yes vjcomp
open iface
mpd.secret:
username password
mpd.links
intsv_vpn:
set link type pptp
set pptp peer vpn.chelcom.ru
set pptp enable originate outcall
linkupdown:
#!/bin/sh
VPNAME=vpn.chelcom.ru
PREFIX=/usr/local
export PATH=/sbin:/bin:/usr/bin:/usr/sbin:${PREFIX}/bin:/${PREFIX}/sbin
start() {
netstat -rn | grep '^default' | awk '{print $2}' > /tmp/defaultroute
for serverip in `host vpn | awk '{print $4}'`
do
route add -host $serverip `cat /tmp/defaultroute`
done
route change default $1 -ifp ng0
}
stop() {
route change default `cat /tmp/defaultroute`
for serverip in `host vpn | awk '{print $4}'`
do
route delete -host $serverip
done
}
link-up:
#!/bin/sh
. /usr/local/etc/mpd/linkupdown
start $4
exit 0
link-down:
#!/bin/sh
. /usr/local/etc/mpd/linkupdown
stop
exit 0
Подписаться на:
Сообщения (Atom)